전체메뉴

[애플경제 전윤미 기자] 최근 윈도우(Windows) 스크립트 파일(WSF)을 악용, 바이러스 백신 소프트웨어를 우회하며 악성 코드를 확산시키는 해킹이 급증하고 있다.

특히 ‘래즈베리 로빈’(Raspberry Robin) 악성 코드의 수정된 버전을 사용하면 윈도우 스크립트 파일을 사용, 공격 대상자의 컴퓨터에 로드할 수 있고, 바이러스 백신 소프트웨어의 탐지도 피할 수 있다.

래즈베리 로빈은 기업이나 조직 내 USB까지 감염시키며, 빠르게 내부 네트워크에 침투하는 악성코드다. ‘사회 공학 기법’으로 피해자를 속여, 이미 감염된 USB 드라이브를 사용하도록 유도하곤 한다. 다른 악성코드의 로더 역할을 하는 래즈베리 로빈은 러시아 해커 집단 ‘이블 코’(Evil Corp)와 연관된 것이란 주장도 있다.

감염 스크립트, 백신 스캐너도 탐지 못해

보안 전문가들은 이처럼 윈도우 스크립트 파일(WSF)을 사용, 은밀하게 악성 코드를 배포하기 위해 래즈베리 로빈 멀웨어의 수정 버전을 사용하는 최근의 움직임을 크게 우려하고 있다. 더욱이 문제는 사이버보안 사이트 ‘사이버레디’와 보안업체 ‘HP Wolf Security’의 분석에 따르면 악성 코드를 로드하고 확산시키기 위해 업데이트된 스크립트다. 이는 ‘바이러스 토탈’(VirusTotal)에 나열된 바이러스 백신 스캐너에 의해 악성으로 분류되지 않는다.

그 결과, “윈도우 스크립트에 의한 래즈베리 로빈 악성코드는 오늘날 기업이 직면하고 있는 가장 보편적이고 위협적인 사이버 공격”이란 우려다. 래즈베리 로빈 멀웨어는 고급 난독화와 탁월한 분석 방지 기능을 침투 무기로 삼는 것으로 알려져있다. 이를 통해 해커는 탐지 도구를 우회하거나, 샌드박스를 속이고, 보안 전문가의 공격 체인 분석에 혼선을 유발하기도 한다.

또 래즈베리 로빈의 진화도 걱정꺼리다 이는 지금까지 악성 윈도우 ‘바로 가기’ 파일(.lnk)이 포함된 USB 드라이브와 같은 이동식 미디어를 사용하곤 했다. 그러나 최근 ‘HP Wolf Security’ 보고서에 의하면 이는 다른 여러 침투 수법도 새롭게 구사하고 있다는 지적이다.

USB 외에도 침투 수법과 통로 다양화

이에 따르면 래즈베리 로빈은 지난 2021년부터 악성 페이로드를 로드하기 위한 ‘EXE’ 및 ‘DLL’ 파일이 포함된 디스코드(Discord)에서 호스팅되는 아카이브 파일(RAR)을 사용하기도 한다. 또 공격 대상의 웹 브라우저를 사용, 다운로드한 7-Zip 아카이브 파일(.7z)을 이용하기도 한다. 여기엔 시스템을 래즈베리 로빈으로 감염시키는 악성 윈도우 인스톨러(.msi) 패키지가 포함되어 있다.

‘HP Wolf Security’는 또 “공격자들은 ‘Discord’에서 악성 ZIP 파일을 다운로드하도록 유도하는 가짜 광고를 사용해 피해자의 디바이스에 멀웨어를 배포하기도 한다”고 지적했다.

특히 지난 3월초부터 부쩍 극성을 부리고 있는 래즈베리 로빈 멀웨어의 WSF 감염 실태와 수법은 경악할 만하다. 본래 WSF 파일 형식은 다양한 스크립팅 언어를 지원한다. 스크립팅 언어는 윈도우 스크립트 호스트에서 단일 파일 내에서 다양한 언어를 혼합하는 데 사용되는 JScript나 WBScript를 포함한다. 그러나 “이 형식은 관리자와 합법적인 소프트웨어에서 컴퓨터 작업을 자동화하거나 다양한 작업을 수행하기 위해 널리 사용되지만, 악의적인 행위자에 의해 악용될 수도 있다”는 지적이다.

공격에 사용된 WSF 파일은 해커가 통제하는 여러 악성 도메인에 업로드되더라도, 피해자들은 위험한 URL로 유인되면서도 사전에 그런 스팸이나 악성 광고 캠페인을 식별하지 못한다. WSF파일엔 해킹을 숨기기 위해 사용되는 ‘정크 문자’의 긴 문자열은 물론, 악성 스크립트도 포함되어 있다. 스크립트 자체도 매우 난독화되어 있다. 모든 함수와 변수는 복잡한 배열을 통해 인코딩 내지 디코딩된다.

WSF 감염 사슬, 사전 식별 어려워

맬웨어는 처음엔 운영 체제(OS)와 상호 작용하기 위해 WScript 셸 개체를 생성한다. 그런 다음 이 개체가 감지되지 않고, 시스템을 성공적으로 감염시킬 수 있는지 확인하기 위해 스스로 검사하기도 한다. 사용자의 데스크탑과 같이 쉽게 알아볼 수 있는 곳에 스크립트가 있는지부터 확인한다. 만약 스크립크가 있으면 그냥 종료한다.

이때 ‘SWbemLocator’ 개체를 생성하면 공격자는 어렵잖게 WMI(윈도우 관리 도구)에 액세스할 수 있다. 이를 통해 스크립트는 페이로드가 시스템에 로드될 수 있는지 확인하기 위해 여러 검사를 수행할 수 있다.

스크립트는 네트워크 카드의 MAC 주소를 확인하고 Hyper-V, Oracle VM Server 또는 VMware와 같은 가상화 솔루션을 감지, “가상 머신(VM)에서 실행 중인지 확인하기 위해 정립된 방법을 사용한다.”는 설명이다. 그런 다음 최종 WMI 검사에서는 실행 중인 프로세스를 ‘Kaspersky’, ‘Avast’ 또는 ‘Check Point’ 등의 보안 공급업체 스캐너에서 사용되는 것으로 알려진 바이러스 백신 프로세스 목록과 비교한다.

성공적 감염 위해 사전에 해커 스스로 침투 경로 검사

특히 바이러스 백신 프로그램이 감지되지 않으면 스크립트가 ‘Microsoft Defender’를 실행하는 엔드포인트에서 실행되고 있을 가능성이 높다는 얘기다.

VM 탐지 단계가 완료되면 다음 단계에는 일련의 분석 방지 조치다. 사용되지 않는 코드를 대량으로 사용하는 등의 단순한 난독화 기술은 분석을 더욱 어렵게 만들고, 시간이 많이 소요된다. 이러한 모든 검사가 완료되면 스크립트는 래즈베리 로빈 멀웨어를 컴퓨터에 전달하는 프로세스를 시작한다.

또한 웹에서 DLL을 다운로드하고 이를 로컬 AppData 폴더에 저장한다. 이는 URL 경로를 사용하는 대신 쿠키를 통해 수행된다. 이는 웹 서버가 다운로더 스크립트에서 나온 요청을 확인할 수 있음을 의미하므로, 악성 코드 샘플이 보안 연구원에게 탄로날 가능성이 줄어든다. 그런 다음 파일 확장자가 .dll로 변경되고 msiexec를 사용, 래즈베리 로빈 악성코드가 시작된다. 이 악성 코드는 효과적인 페이로드가 실행될 때까지 자체 안티 분석이나 VM 탐지 기술을 거친다.

보안 전문가들은 “특히 랜섬웨어를 전달하는 데 사용되는 공격 시퀀스가 특히 문제”라며 “손상을 피하기 위해 감염 체인에서 가능한 한 빨리 악성 코드에 대응해야 한다”고 촉구했다. 그럴수록 감염 체인 초기에 래즈베리 로빈에 대응하는 것이 보안 전문가들의 최우선 과제가 되고 있다.